CVE-2022-25277

Versões 7, 9.3 e 9.4 do núcleo do Drupal

O problema decorre da interação incorreta entre duas proteções no núcleo do Drupal: uma que sanitiza nomes de arquivos com extensões perigosas durante o upload e outra que remove os pontos à esquerda e à direita dos nomes de arquivos para impedir o upload de arquivos de configuração do servidor. Se um site estiver configurado para permitir o upload de arquivos com a extensão .htaccess, os nomes desses arquivos não serão sanitizados adequadamente, o que pode permitir a contornagem das proteções fornecidas pelos arquivos .htaccess padrão do núcleo do Drupal e a possível execução remota de código em servidores web Apache. Isso é mitigado pela exigência de que um administrador de campos configure explicitamente um campo de arquivo para permitir .htaccess como extensão ou que um módulo contribuído ou código personalizado substitua as configurações de upload de arquivos permitidos.

Para o núcleo do Drupal versão 7: atualize para a versão 7.91.

Para o núcleo do Drupal versão 9.3: atualize para a versão 9.3.19.

Para o núcleo do Drupal versão 9.4: atualize para a versão 9.4.3.

Como solução temporária, considere restringir o upload de arquivos com extensão htaccess até que o problema seja resolvido.